Radca Prawny Magdalena Januszewska

Aktualności

„Wyciek danych osobowych z ZUS – PIT-y wysłane pod niewłaściwe adresy”- wypowiedź Magdaleny Januszewskiej w artykule G.J. Leśniak w Prawo.pl

ZUS wysłał na nieaktualne adresy zamieszkania PIT-11A osobom, którym wypłacał zasiłki chorobowe w 2020 roku. Jak ustaliło Prawo.pl, to efekt niewłaściwego zaciągnięcia przez system informatyczny starej bazy danych. Według naszych informacji, ZUS nie wie, ile PIT-ów trafiło w niepowołane ręce. Według UODO, Zakład zgłosił kilka incydentów związanych z wysyłką PIT na błędnie podany adres zamieszkania. ZUS przyznaje, że analizuje 291 takich przypadków.
(…)

Szkopuł jednak w tym, że nie wiadomo, ile osób spośród podanego 1,4 mln świadczeniobiorców, którym ZUS wypłacał zasiłki z ubezpieczenia społecznego i wystawił PIT-11A to były akurat osoby pobierające zasiłek chorobowy (oprócz niego Zakład wypłacał przecież jeszcze zasiłki macierzyńskie, opiekuńcze czy pogrzebowe). Nie sposób tego nawet zweryfikować, ponieważ w „Informacji o wybranych świadczeniach pieniężnych” z grudnia 2020 r., dostępnej na stronie ZUS Zakład podał jedynie, że w okresie od stycznia do grudnia ubiegłego roku wypłacił zasiłki chorobowe za 154 746,9 tys. dni zasiłkowych, a kwota wypłat wyniosła 14 093 007,8 tys. zł.

O sprawę zapytaliśmy też sam Urząd Ochrony Danych Osobowych. Chcieliśmy wiedzieć, ile osób, do których ZUS  wysłał informacje PIT na błędny, nieaktualny adres zamieszkania, złożyło skargi do Prezesa UODO oraz ile incydentów związanych z naruszeniem danych osobowych zgłosił sam ZUS. Problem polega bowiem nie tylko na samej informacji, która mogła trafić w niepowołane ręce, ale przede wszystkim na danych osobowych, które ta informacja zawiera. ZUS bowiem jako płatnik w PIT-11A podaje nie tylko imię i nazwisko świadczeniobiorcy oraz jego adres zamieszkania, ale także jego PESEL i wysokość wypłaconych świadczeń z tytułu choroby.

Nie ma skarg do UODO
Według Adama Sanockiego, rzecznika prasowego UODO, urząd nie prowadzi tak szczegółowych statystyk. – Jednak jeśli chodzi o skargi, to nie jest obecnie prowadzone postępowanie, które dotyczy wysyłania przez tego administratora danych rocznych zeznań PIT-11 z tytułu wypłacanych w roku 2020 zasiłków chorobowych na niewłaściwy adres zamieszkania. Oznacza to, że do UODO nie wpłynęła skarga na ZUS w takim zakresie – poinformował Adam Sanocki. Jednocześnie podał, że również w przypadku naruszeń ochrony danych, które są zgłaszane do UODO urząd nie prowadzi aż tak dokładnych statystyk. – Jednak pracownicy zajmujący się zgłoszeniami zidentyfikowali kilka przypadków, a  więc sytuacji, w którym ZUS zgłosił nam naruszenie polegające na wysyłce PIT-11 na błędnie podany adres zamieszkania. Dokładne wskazanie, ile ich jest wymaga przejrzenia pod tym kątem wszystkich takich zgłoszeń, co nie jest możliwe z uwagi na dużą ilość incydentów zgłaszanych do UODO – podkreślił.

Winnych nie ma, a jeżeli już to… klienci
(…)

Zapytaliśmy więc ZUS o to, kto odpowiada za to, że w systemie informatycznym ZUS nieaktualne były dane świadczeniobiorców. W odpowiedzi poinformowano  nas, że za aktualizację danych adresowych odpowiada klient. – Dane adresowe, zapisane w systemie Zakładu, pochodzą z dokumentów przekazywanych przez klientów – twierdzi ZUS.

Jednocześnie Zakład zapewnił, że traktuje ochronę danych osobowych priorytetowo i dopełnia niezwłocznie wszelkich obowiązków wynikających z przepisów RODO.  – Według stanu na dzień 8 marca zgłosiliśmy do Urzędu Ochrony Danych Osobowych 22 przypadki naruszeń dotyczących skierowania formularzy PIT-11A z tytułu wypłacanych w roku 2020 zasiłków na nieaktualne adresy zamieszkania świadczeniobiorców. Podkreślamy, że każde podejrzenie naruszenia ochrony danych osobowych wymaga oddzielnego postępowania wyjaśniającego. Dopiero po jego przeprowadzeniu i faktycznym stwierdzeniu naruszenia, następuje zgłoszenie do Prezesa UODO – czytamy w przekazanej Prawo.pl odpowiedzi.
(…)

Jak zapewnia ZUS, generując formularze podatkowe, Zakład korzysta z danych adresowych podanych przez ubezpieczonych, świadczeniobiorców lub płatników składek. Korespondencję wysyłamy na adres wskazany przez klienta do korespondencji, a jeśli klient takiego adresu nam nie podał – na adres zamieszkania. Niejednokrotnie okazuje się, że wskazane przez klientów dane są nieaktualne. Dlatego przypominamy o obowiązku niezwłocznego zgłaszania zmian w danych adresowych. Przed wygenerowaniem PIT-ów pracownicy Zakładu weryfikują poprawność danych adresowych w zakresie zgodności z zapisami w Kompleksowym Systemie Informatycznym ZUS. W razie wątpliwości kontaktują się z ubezpieczonym lub jego pracodawcą. Wprowadzamy też do systemu regularne modyfikacje, by udoskonalać zabezpieczenia i mechanizmy kontrolne.

Na tropie naruszeń
– Czym innym są skargi składane na administratorów danych, a czym innym naruszenia ochrony danych, o których mowa w art. 33 RODO – przypomina Adam Sanocki, rzecznik prasowy UODO. Jak dalej wyjaśnia, skargę do UODO, która inicjuje postępowanie administracyjne, może złożyć każdy, kto ma wątpliwości czy administrator właściwie postępuje z jego danymi osobowymi, w tym przestrzega jego praw. Szczegółowe informacje na temat składania skarg znajdują się na stronie internetowej UODO. Z kolei naruszenie ochrony danych osobowych to sytuacja, w której doszło do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, a więc np. ich wycieki. I zgodnie z art. 33 RODO w przypadku części takich incydentów administrator danych osobowych ma obowiązek powiadomić o tym organ nadzorczy.

– Naruszenia ochrony danych niemające wpływu na prawa i wolności osób, których dotyczą, powinny trafiać tylko do wewnętrznego rejestru prowadzonego przez administratora, w którym powinien on odnotowywać wszystkie przypadki naruszeń. Do UODO trzeba natomiast zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji poinformował również osoby, których te dane dotyczą – podkreśla Sanocki. I dodaje: Celem zgłaszania naruszeń organowi nadzorczemu w ciągu 72 godzin jest m.in. dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić.

W przypadku tych naruszeń bardzo ważny jest czas reakcji. Dlatego, gdyby okazało się np., że administrator powinien powiadomić nie tylko Prezesa UODO, ale także osoby, których dotyczy dane zdarzenie, a tego nie zrobił, to wówczas można szybko wskazać mu taką  konieczność. Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami. W sytuacji, gdy administrator uzna, że istnieje ryzyko ich nieuprawnionego wykorzystania, powinien powiadomić osobę, której dane dotyczą o zaistniałym incydencie. Należy wtedy podjąć odpowiednie działania, aby ograniczać ewentualne negatywne konsekwencje.

Naruszenie, które może słono kosztować
– Pytanie zasadnicze, na które ZUS i UODO oceniając to zdarzenie muszą sobie odpowiedzieć, to czy można było uniknąć tego wycieku danych. Podejrzewam, że skoro zaciągnęły się dane osób nie z tej bazy, co potrzeba, to jednak zawiodły procedury. Ponieważ są mi znane przypadki złego pocięcia wydruków masowych,  przez co informacje trafiły nie do tych osób, do których trafić powinny a winna firma została za to ukarana. ZUS musi się więc liczyć z karą, którą Prezes UODO może nałożyć na niego w wysokości maksymalnie 100 tys. zł – mówi serwisowi Prawo.pl Maciej Gawroński, radca prawny, partner zarządzający w kancelarii Gawroński & Partners. Jak podkreśla mec. Gawroński, problemem może być zwłaszcza podawany w PIT-11 numer PESEL, ponieważ może on posłużyć do kradzieży tożsamości. – Mankamentem naszego systemu jest to, że raz nadany numer PESEL nie podlega zmianie. Nie ma możliwości jego wymiany – zaznacza mec. Maciej Gawroński. I dodaje: ZUS musi pewnie teraz pisać listy informujące osoby o wycieku ich danych, ale same te osoby też powinny przez co najmniej najbliższy rok wzmóc swoją ostrożność.
(…)

– ZUS powinien przeprowadzić analizę, by ustalić, jaka była skala wycieku danych osobowych. Bo im większa skala wycieku danych, tym większe jest ryzyko, że dane mogły trafić do osoby niepowołanej, która te dane sprzeniewierzy – zaznacza mec. Maciej Gawroński. Według niego, nie ma rozwiązań, które pozwalałyby leczyć skutki takich wycieków. – Jeżeli ktoś padnie ofiarą takiego wycieku i będzie w stanie powiązać ten wyciek danych z ZUS z poniesioną szkodą materialną, to takiej osobie będzie przysługiwało roszczenie odszkodowawcze wobec ZUS w trybie art. 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – wyjaśnia mec. Gawroński.

Dr Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz i Wspólnicy nie ma wątpliwości, że jeżeli informacje PIT zostały ujawnione nie tym osobom, które powinny je otrzymać to doszło do naruszenia poufności danych osobowych, co stanowi naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Na podstawie art. 33 RODO naruszenie takie podlega zgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia naruszenia przez ZUS. I choć są sytuacje, w których takie zgłoszenie nie byłoby obowiązkowe, to jednak biorąc pod uwagę zakres danych w PIT-11A, już pobieżna analiza wskazuje, że będzie ono obligatoryjne z uwagi na poziom prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. W tym zgłoszeniu należy podać m.in. okoliczności zdarzenia i jego skalę, opisać możliwe konsekwencje oraz środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu oraz wskazać, czy osoby, których dane wyciekły zostały o tym poinformowane. Ten ostatni element jest bardzo istotny w związku z potencjalnymi negatywnymi skutkami dla osób, których dane wyciekły – mówi dr Lubasz. I dodaje: Jeśli wśród tych danych jest PESEL, to zgodnie z utrwalonym stanowiskiem Prezesa UODO, obowiązkiem Zakładu jest poinformować te osoby, o możliwych konsekwencjach wycieku tych danych. ZUS musi zastanowić się nad każdą indywidualną sprawą, rozważyć wszystkie potencjalne ryzyka i poinformować o nich osoby, których dane zostały ujawnione, z pouczeniem co powinny zrobić by zaradzić powstaniu negatywnych skutków naruszenia. W przypadku numeru PESEL gama takich sytuacji jest całkiem spora, począwszy od wyłudzania pożyczek, poprzez korzystanie z niektórych praw obywatelskich, na dostępie do świadczeń zdrowotnych skończywszy. Kluczowa jest tu szybkość działania, ale i kompleksowość przekazywanych informacji.
(…)
Co dalej z PIT-ami wysyłanymi przez ZUS?
Rok 2020 był szczególny. Pracownikom ZUS przybyło więcej pracy, które wiązała się nie tylko z wypłatą dodatkowych świadczeń, jak chociażby dodatkowe zasiłki opiekuńcze czy dodatek solidarnościowy. Doszła też wypłata zasiłków chorobowych za czas kwarantanny i izolacji. Nie zmienia to jednak faktu, że zamieszanie z PIT-ami przełoży się teraz na świadczeniobiorców. I o ile osoby fizyczne fiskus sam rozliczy, o tyle osoby prowadzące działalność gospodarczą powinny się mieć na baczności.   

– Osoby, które chorowały kilka dni w roku mogą nie pamiętać, że  dostały zasiłek chorobowy i że  powinien dotrzeć do nich  PIT od ZUS. W przypadku osób fizycznych jest niewielkie  ryzyko złego rozliczenia zeznania rocznego, bo ZUS jako płatnik przesłał informację o dochodach uzyskanych z organu rentowego do urzędu skarbowego danej osoby. Natomiast gorzej w wypadku  osób fizycznych prowadzących działalność gospodarczą, bo tu istnieje ryzyko, że bez PIT-a z ZUS taka osoba może się źle rozliczyć, co oznacza późniejsze wyjaśnianie niespójności z urzędem skarbowym – mówi radca prawny Magdalena Januszewska, specjalizująca się w prawie pracy, ubezpieczeń i zabezpieczenia społecznego.

W opinii Przemysława Hinca, doradcy podatkowego z kancelarii PJH Doradztwo Gospodarcze, takie informacje nie powinny krążyć po kraju, bo nie ma takiej potrzeby. – Wszystkie informacje pochodzące od organów nie powinny być wysyłane pocztą, lecz dostępne na specjalnym portalu internetowym, na którym każdy organ –  czy to ZUS, urząd skarbowy, czy gmina – miałaby swoją zakładkę, w której publikowałaby dla każdej osoby informacje ją dotyczące. Wówczas wystarczyłoby zalogować się na swoje konto według podanego jednego klucza z możliwością kilkustopniowej weryfikacji, aby sprawdzić i pobrać dokumenty – podkreśla Przemysław Hinc. Według niego, zorganizować można także pomoc w dostępności do portalu z takimi danymi dla osób wykluczonych cyfrowo czy nie korzystających z komputera. – W każdym urzędzie powinna  być oddelegowana osoba do obsługi osób, które same nie potrafią dotrzeć do tych danych i wydrukować je – dodaje.

Czytaj więcej:Prawo.pl